Devo me preocupar com um cenário de apocalipse do Amazon AWS?

Navegue suas respostas
4

Atualmente, nosso sistema é executado inteiramente dentro da AWS. Fazemos instantâneos contínuos de nosso EBS e geralmente praticamos restaurações em execução.

O que me anima durante a noite é ter todos os ovos na mesma cesta. Aqui estão os cenários:

  • Nossa zona da Amazon tem algum evento massivo que destrói o data center
  • Alguém ganha acesso à nossa conta da AWS, encerra nossas instâncias e exclui todas as nossas capturas instantâneas

Para atenuar esses riscos, estou pensando em mover os instantâneos periodicamente para outra conta da AWS (com credenciais diferentes) em outra região.

A minha pergunta é: este é um nível de precaução adequado ou devo procurar por backups externos totalmente removidos da Amazon?

    
por ChrisInCambo 26.11.2014 / 05:31

2 respostas

8

Esta é uma avaliação de risco, não uma administração profissional de sistemas. Há, sem dúvida, um componente técnico para esta decisão, mas é fundamentalmente uma decisão de negócios (e dólares e centavos).

Eu acho que é sensato planejar os dois cenários se ele puder ser tratado de maneira econômica. O segundo cenário parece muito mais provável do que o primeiro, mas ambos são plausíveis.

Se fosse eu, faria lobby por backups externos completamente removidos da Amazon. Um terceiro cenário, talvez mais provável do que os seus dois primeiros, pode envolver a relação comercial entre a sua empresa e a Amazon ficar azeda. Embora existam certamente soluções jurídicas nessa situação, seria vantajoso para você continuar as operações comerciais com outro provedor de hospedagem enquanto as coisas acontecem com a Amazon. Para esse fim, ter backups (no mínimo) acessíveis sem o envolvimento da Amazon parece prudente.

(Eu até diria que provavelmente vale a pena fazer uma avaliação de girar o aplicativo inteiro em outro host. Se as coisas correrem mal com a Amazon, ter backups é bom, mas seria melhor ainda se você pudesse continuar executando o seu Isso pode ser complicado, dependendo de quão profundamente integrado é o seu aplicativo para a plataforma da Amazon, mas pelo menos vale a pena discutir.)

    
por 26.11.2014 / 05:36
5

Parece que o seu modelo de ameaças é muito bom.

O AWS fornece zonas de disponibilidade em instâncias do EC2 (e serviços relacionados) para ajudar a proteger um pouco esse tipo de coisa. Colocar backups em outra região é ainda melhor.

Não é tanto sobre a imunidade ou não-imunidade da Amazon a danos, mas sobre o conceito de backups separados por distância física.

O modelo de ameaça relacionado a alguém comprometendo sua conta é totalmente razoável; pessoas foram detidas por resgate dessa forma no passado.

Pessoalmente, eu não moveria os instantâneos. Se você estiver usando servidores do EC2 como nada além de nós efêmeros, não estará usando todo o poder da AWS. O ponto de uma "arquitetura de nuvem" é que os servidores podem ser afetados a qualquer momento. Mas, eu definitivamente aplicaria esse paradigma aos backups reais (despejos de dados, etc.).

Sua alternativa de colocar backups em uma conta separada e provavelmente em uma região separada da AWS é muito mais cara: uma empresa de armazenamento de dados externa. Esses caras geralmente são mais caros, mas tendem a fazer declarações explícitas sobre a segurança dos seus dados em troca.

    
por 26.11.2014 / 05:36

Tags

EC2 login como usuário EC2 diferente de root Qual VM precisa de mais recursos?